Stuxnet Reloaded: Trojaner-Familie Havex attackiert Industrieanlagen

Auf infizierten Web-Servern ist Havex leicht zu entdecken. Die bislang unbekannten Hacker kompromittieren die Webseiten von Herstellern von ICS/SCADA-Systemen und tauschen legitime Installer-Dateien gegen manipulierte Programme aus. Quelle: F-Secure

Die Sicherheitsforscher von F-Secure melden eine Serie von Attacken auf Industrieanlagen. Dazu werden industrielle Kontroll-Systeme (ICS) sowie so genannte SCADA-Software über Trojaner infiziert, die auf den betroffenen Systemen Hintertüren öffnen.

Die Angriffe basieren auf der in PHP geschriebenen Trojaner-Familie Havex Remote Access Trojan (RAT). Dafür haben die Angreifer Apps und Installer, die Anwender von den Seiten der Hersteller herunter laden können, mit den Schädlingen infiziert. Die Schädlinge verbreiten sich jedoch auch Via Spam-Mails und Exploit-Kits.

Über diese Trojaner können die Angreifer nicht nur hochsensible Informationen über die Anlagen und die Steuerungssysteme erlangen, sondern diese möglicherweise auch kontrollieren.

Neben Unternehmen in Deutschland und Frankreich, sollen auch andere Unternehmen betroffen sein, wie F-Secure in einem Blog mitteilt. Über die genauen Hintergründe und die Identität der Angreifer ist laut F-Secure bislang nichts bekannt.

Derzeit seien zwei deutsche sowie ein französischer Hersteller von Industrieanlagen betroffen. Darüber hinaus sollen auch zwei große europäische Universitäten sowie eine russische Baufirma betroffen sein. Auch konnte F-Secure die Kommunikation eines CC-Servers mit einem Industriegüterhersteller in Kalifornien zurückverfolgen.

In dem Blog erklären die F-Secure-Sicherheitsforscher Daavid Hentunen und Antti Tikkanen: “Die Angreifer haben Trojaner-Software zum Download auf den Webseisten der Hersteller der ICS/SCADA-Systeme verbreitet und auf diese Weise versucht, die Rechner auf denen die Software installiert wird, zu infizieren.” Ingesamt, so Hentunen weiter, habe F-Secure 88 Varianten von Havex RAT entdeckt, die allesamt darauf abzielen, Zugang zu den Systemen zu bekommen und so Daten aus den Netzwerken und von den Maschinen zu bekommen.

Diese verschiedenen Varianten hätten demnach insgesamt 146 Command and Controll Server (C&C)

Beispiele für Command and Controll-Server für Havex. Quelle: F-Secure

kontaktiert. Diese Server hätten rund 1500 IP-Adressen verfolgt, um auf diese Weise weitere mögliche Opfer ausfindig zu machen. Als C&C-Server dienen hauptsächlich gekaperte Web-Server von Dritten, allerdings sei die Hackergruppe bei der Verwaltung dieser Server nicht sehr professionell vorgegangen, erklären die Sicherheitsforscher.

Diese Schädlinge sammeln Daten aus den betroffenen Systemen. Doch gehen die Sicherheitsexperten davon aus, dass es den Angreifern nicht lediglich darum geht, Wirtschaftsspionage zu betreiben. Vielmehr sollen die Angreifer auf diese Weise versuchen, in verschiedenen Organisationen die Kontrolle über die Systeme zu bekommen, mutmaßen die Forscher. Dafür spreche der zusätzliche Payload, über den die Angreifer versuchen, Informationen über die verwendete Hardware auszulesen.

Auf infizierten Systemen lassen sich die insgesamt 88 bislang bekannten Varianten des Industrie-Spionage-Trojaner Havex Remote Access Trojan (RAT) über mbcheck.dll erkennnen. Quelle: F-Secure

Die Schädlinge selbst werden aber offenbar hauptsächlich über die Web-Auftritte der Hersteller verteilt. “Es scheint so, dass die Angreifer Sicherheitslecks in der Software verwenden, über die die Hersteller ihre Webseiten betreiben. Damit brechen sie auf den Servern ein und tauschen die legitimen Software-Installer aus, die dort für die Anwender verfügbar sind.”

Inzwischen habe F-Secure drei dieser Seiten von Herstellern in Deutschland, Schweiz und Belgien entdeckt. Ohne die Namen der Hersteller zu nennen, heißt es von F-Secure, dass zwei davon Software für die Fernwartung von Industriesystemen anbieten und bei dem dritten Unternehmen handle es sich um einen Hersteller von hochpräzisen Industriekameras und der entsprechenden Software. Jedoch könnten auch die Webseiten weiterer Hersteller betroffen sein, warnt F-Secure.

Die Infizierung eines Servers mit Havex lasse sich verhältnismäßig einfach aus dem Source-Code des Servers auslesen. Ein auf einen infizierten Installer auf einem Zielsystem weise “mbcheck.dll” hin.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago